Viele Unsicherheiten gibt es, wenn es um das Thema Microsoft-Cloud geht, denn vor allem seitdem der Europäische Gerichthof 2020 den Privacy Shield gekippt hat, bieten die USA kein angemessenes Schutzschild mehr.
In diesem Beitrag möchten wir Ihnen einen Überblick zum aktuellen Stand und der Verwendung der MS-Cloud-Dienste geben.
Was Microsoft auch ohne Privacy Shield selbst tun möchte
- Der U.S. CLOUD Act ist eines der Hauptprobleme, da er den US-Behörden umfassenden Zugriff auf die in der Cloud von US-Unternehmen gespeicherten Daten ermöglicht. Microsoft kann daran zwar nicht viel ändern, garantiert aber, in einem solchen Fall die angefragten Daten nicht ohne weiteres herauszugeben, sondern alle Anfragen uneingeschränkt anzufechten bis zur gerichtlichen Entscheidung tatsächlich keine Wahl mehr bleibt. Außerdem hat Microsoft eine finanzielle Entschädigung angekündigt, wenn es durch den CLOUD Act die DSGVO verletzten muss und ein europäisches Unternehmen dadurch Schaden erleidet.
- (In DE gilt dies übrigens ebenso für deutsche Behörden, wenn es um die nationale Sicherheit geht, Art. 2 Abs. 2d) DSGVO).
- Unter „EU Data Boundary for the Microsoft Cloud“ möchte Microsoft mit der Speicherung in EU-Rechenzentren generell sicherstellen, dass US-Behörden nicht noch einfacher an die genannten Daten gelangen; verhindert wird es dennoch nicht.
- Ende 2022 möchte Microsoft garantieren können, dass die Daten aller in der EU angebotenen Cloud-Dienste nicht in den USA zur Speicherung gelangen. Die entsprechend notwendigen Prozesse befinden sich noch in Abstimmung.
- Auf der Seite „Verfügbare Produkte nach Region“ bietet Microsoft eine ganz transparente Liste an. Diese zeigt, welche Dienste in welchen Regionen zur Verfügung stehen und wo deren Dienste gespeichert werden. Diese gilt für die Dienste in Microsoft 365, Dynamics365 und Azure.
- Bei der Nutzung von Azure und Microsoft365 kann man für die meisten Dienste eine Auswahl treffen, wo die Daten gespeichert werden sollen.
- In Zusammenarbeit mit externen Dienstleistern verpflichtet Microsoft seine Partner (mindestens) zur Einhaltung der DSGVO.
- Auch eine Verschlüsselung ist möglich:
Zum einen gibt Microsoft Dritten keinen Zugriff auf den selbst verwendeten Verschlüsselungs-Schlüssel.
Zum anderen besteht die Möglichkeit, die Daten mit von Microsoft selbst angebotenen Verschlüsselungsfunktionen verschlüsselt zu speichern. So erhält selbst Microsoft keinen Zugriff auf die gespeicherten Daten.
Außerdem kann man auch seinen eigenen Verschlüsselungs-Schlüssel verwenden. Weitere Informationen zur Erstellung finden Sie hier.
Die spannende Frage
Können / sollen / dürfen wir die Cloud-Dienste von Microsoft nutzen?
Tatsächlich investiert Microsoft hohe Summen für den Datenschutz in der EU (Ausbau der Rechenzentren in der EU) und erfüllt derzeit die meisten Anforderungen der EU an den Datenschutz – auch ganz ohne Privacy Shield.
Unter Berücksichtigung der Risikominimierung durch die Möglichkeit der Daten-Verschlüsselung ergibt sich ein sehr geringes Risiko einer Verletzung der DSGVO.
Vor diesem Hintergrund ist die Verwendung von M365 aus datenschutzrechtlicher Sicht in Ordnung.
Sollten Sie sich dennoch unsicher sein oder weitere Fragen haben, melden Sie sich gerne bei uns!
Quelle: Viele der Gedanken hier haben wir aus der Zeitschrift „Datenschutz-Praxis“, Ausgabe April 2022